Montag, 28. April 2008
Blacklist-Rekord
Das Institut für Internet-Sicherheit vermeldet für den 21.04. einen Rekord: Mehr als 18 Millionen Requests an die Blacklist gemessen. Zur Information: Die Messung wurde nur an deren Slave, den die Dr. Bülow & Masiak GmbH bereitstellt, durchgeführt, die Zahl ist in etwa mal 12 zu nehmen, um die Gesamtzahl an Requests zu erhalten.
In "bunt und in Farbe" sieht das in etwa so aus:
In "bunt und in Farbe" sieht das in etwa so aus:
Trackbacks
Trackback-URL für diesen Eintrag
Keine Trackbacks
Kommentare
Ansicht der Kommentare:
(Linear | Verschachtelt)
Das läuft ja mit DNS Loadbalancing oder?
Wie stellt man da sicher, dass sich einige Programme nicht nur den 1. NS raussuchen und den dann ständig fragen?
Dann wäre ja dieser mehr belastet als alle anderen.
Wie stellt man da sicher, dass sich einige Programme nicht nur den 1. NS raussuchen und den dann ständig fragen?
Dann wäre ja dieser mehr belastet als alle anderen.
> Das läuft ja mit DNS Loadbalancing oder?
ja
> Wie stellt man da sicher, dass sich einige Programme nicht nur den 1. NS raussuchen und
> den dann ständig fragen?
Das kann man unterschiedlich lösen, im Fall der Blacklist funktioniert das übrigens auch via dns:
In der Konfiguration meines Mailservers schreibe ich
reject_rbl_client ix.dnsbl.manitu.net
also einen Zonennamen für die RBL.
Zu der Zone wird nun der zuständige Nameserver gesucht:
$ dig ns ix.dnsbl.manitu.net
[...]
;; ANSWER SECTION:
ix.dnsbl.manitu.net. 58 IN NS ix-dns16.dnsbl.manitu.net.
ix.dnsbl.manitu.net. 58 IN NS ix-dns19.dnsbl.manitu.net.
[...]
ix.dnsbl.manitu.net. 58 IN NS ix-dns17.dnsbl.manitu.net.
ix.dnsbl.manitu.net. 58 IN NS ix-dns13.dnsbl.manitu.net.
ix.dnsbl.manitu.net. 58 IN NS ix-dns12.dnsbl.manitu.net.
Das liefert also eine ganze Menge Nameserver. Bei jeder Anfrage ändert sich die Verteilung
der Nameserver nach Round Robin. Das ist eine Funktion des DNS-Servers.
Mein Client pickt sich den ersten raus, ist der nicht erreichbar den zweiten usw.
Ausserdem kann man bei DNS sehr einfach Loadbalancing machen, indem man z.B. auf einem
Router oder einer Firewall alle eingehenden Verbindungen für die IP des DNS-Servers und port 53
auf einen Cluster von mehreren Servern verteilt. DNS ist ein Statusloses Protokoll, dass dank UDP
sehr leicht auf diese Weise verteilt werden kann.
Loadbalancing auf Mailsververn (SMTP) klappt übrigens fast genauso einfach, bei Webservern
geht es im Prinzip auch, wenn sie nur statische Seiten ausliefern und keine Sessions bilden.
Hat ein Nameserver für einen Namen mehrere IPs hinterlegt (also mehrere A-Records) liefert er auch
bei jeder Anfrage einen anderen als ersten zurück.
$ dig www.google.de
Das liefert
;; ANSWER SECTION:
www.google.de. 73032 IN CNAME www.google.com.
www.google.com. 84717 IN CNAME www.l.google.com.
www.l.google.com. 242 IN A 209.85.135.147
www.l.google.com. 242 IN A 209.85.135.104
www.l.google.com. 242 IN A 209.85.135.103
www.l.google.com. 242 IN A 209.85.135.99
oder auch
;; ANSWER SECTION:
www.google.de. 73033 IN CNAME www.google.com.
www.google.com. 84718 IN CNAME www.l.google.com.
www.l.google.com. 243 IN A 209.85.135.147
www.l.google.com. 243 IN A 209.85.135.104
www.l.google.com. 243 IN A 209.85.135.103
www.l.google.com. 243 IN A 209.85.135.99
oder dergleichen.
Schliesslich kann man noch fiese Sachen mit Anycast oder bgp machen, aber das sprengt dann den Rahmen
ja
> Wie stellt man da sicher, dass sich einige Programme nicht nur den 1. NS raussuchen und
> den dann ständig fragen?
Das kann man unterschiedlich lösen, im Fall der Blacklist funktioniert das übrigens auch via dns:
In der Konfiguration meines Mailservers schreibe ich
reject_rbl_client ix.dnsbl.manitu.net
also einen Zonennamen für die RBL.
Zu der Zone wird nun der zuständige Nameserver gesucht:
$ dig ns ix.dnsbl.manitu.net
[...]
;; ANSWER SECTION:
ix.dnsbl.manitu.net. 58 IN NS ix-dns16.dnsbl.manitu.net.
ix.dnsbl.manitu.net. 58 IN NS ix-dns19.dnsbl.manitu.net.
[...]
ix.dnsbl.manitu.net. 58 IN NS ix-dns17.dnsbl.manitu.net.
ix.dnsbl.manitu.net. 58 IN NS ix-dns13.dnsbl.manitu.net.
ix.dnsbl.manitu.net. 58 IN NS ix-dns12.dnsbl.manitu.net.
Das liefert also eine ganze Menge Nameserver. Bei jeder Anfrage ändert sich die Verteilung
der Nameserver nach Round Robin. Das ist eine Funktion des DNS-Servers.
Mein Client pickt sich den ersten raus, ist der nicht erreichbar den zweiten usw.
Ausserdem kann man bei DNS sehr einfach Loadbalancing machen, indem man z.B. auf einem
Router oder einer Firewall alle eingehenden Verbindungen für die IP des DNS-Servers und port 53
auf einen Cluster von mehreren Servern verteilt. DNS ist ein Statusloses Protokoll, dass dank UDP
sehr leicht auf diese Weise verteilt werden kann.
Loadbalancing auf Mailsververn (SMTP) klappt übrigens fast genauso einfach, bei Webservern
geht es im Prinzip auch, wenn sie nur statische Seiten ausliefern und keine Sessions bilden.
Hat ein Nameserver für einen Namen mehrere IPs hinterlegt (also mehrere A-Records) liefert er auch
bei jeder Anfrage einen anderen als ersten zurück.
$ dig www.google.de
Das liefert
;; ANSWER SECTION:
www.google.de. 73032 IN CNAME www.google.com.
www.google.com. 84717 IN CNAME www.l.google.com.
www.l.google.com. 242 IN A 209.85.135.147
www.l.google.com. 242 IN A 209.85.135.104
www.l.google.com. 242 IN A 209.85.135.103
www.l.google.com. 242 IN A 209.85.135.99
oder auch
;; ANSWER SECTION:
www.google.de. 73033 IN CNAME www.google.com.
www.google.com. 84718 IN CNAME www.l.google.com.
www.l.google.com. 243 IN A 209.85.135.147
www.l.google.com. 243 IN A 209.85.135.104
www.l.google.com. 243 IN A 209.85.135.103
www.l.google.com. 243 IN A 209.85.135.99
oder dergleichen.
Schliesslich kann man noch fiese Sachen mit Anycast oder bgp machen, aber das sprengt dann den Rahmen
arrghh. manchmal ist so eine Zwischenablage etwas störrisch 
;; ANSWER SECTION:
www.google.de. 22412 IN CNAME www.google.com.
www.google.com. 84397 IN CNAME www.l.google.com.
www.l.google.com. 22 IN A 209.85.135.99
www.l.google.com. 22 IN A 209.85.135.103
www.l.google.com. 22 IN A 209.85.135.104
www.l.google.com. 22 IN A 209.85.135.147
so - das sieht anders aus - sorry
;; ANSWER SECTION:
www.google.de. 22412 IN CNAME www.google.com.
www.google.com. 84397 IN CNAME www.l.google.com.
www.l.google.com. 22 IN A 209.85.135.99
www.l.google.com. 22 IN A 209.85.135.103
www.l.google.com. 22 IN A 209.85.135.104
www.l.google.com. 22 IN A 209.85.135.147
so - das sieht anders aus - sorry
Gut erklärt!
Die Frage könnte aber anders gemeint sein, und dann kann man es nicht verhindern. Wenn sich also ein störrischer Client nicht der DNS-Zone bedient, sondern einen Slave manuell herauspickt, ist das blöd. Dann fragt er beispielsweise immer ix-dns16.dnsbl.manitu.de und der hat dann eine größere Last zu tragen.
Gut, DNS ist ja nun kein wirklich kostenintensives Protokoll und die "erhöhte" Last wirkt sich nicht wirklich aus. Dazu müsste es schon sehr viele fehlerhafte Clients geben, die wissentlich nur den einen Slave abfragen; erst dann kriegt man den DNS-Server in die Knie. (Aber nicht den gesamten Cluster, da die anderen ja auch noch andere Clients bedienen können)
Die Frage könnte aber anders gemeint sein, und dann kann man es nicht verhindern. Wenn sich also ein störrischer Client nicht der DNS-Zone bedient, sondern einen Slave manuell herauspickt, ist das blöd. Dann fragt er beispielsweise immer ix-dns16.dnsbl.manitu.de und der hat dann eine größere Last zu tragen.
Gut, DNS ist ja nun kein wirklich kostenintensives Protokoll und die "erhöhte" Last wirkt sich nicht wirklich aus. Dazu müsste es schon sehr viele fehlerhafte Clients geben, die wissentlich nur den einen Slave abfragen; erst dann kriegt man den DNS-Server in die Knie. (Aber nicht den gesamten Cluster, da die anderen ja auch noch andere Clients bedienen können)
> Gut erklärt!
Danke
> Dann fragt er beispielsweise immer ix-dns16.dnsbl.manitu.de
Naja, dann kann man wie angedeutet echtes loadbalancing auf nem router davor machen.
Grummel - in aktuellen Linux-Kerneln kann man bei DNAT leider nur noch ein Ziel angeben,
$ iptables -t nat -I PREROUTING 1 -p udp --dport 53 -j DNAT --to-destination 10.1.1.1 --to-destination 212.19.48.14
iptables v1.4.0: Multiple --to-destination not supported
Sooo einfach gehts also nicht mehr
" Later Kernels (>= 2.6.11-rc1) don’t have the ability to NAT to multiple ranges anymore."
Aber wenn die dns in einem gemeinsamen Netz sind gehts
iptables -t nat -I PREROUTING 1 -p udp --dport 53 -j DNAT --to-destination 10.1.1.1-10.1.1.10
Aber auch offenbar nur eingeschränkt. Ich hab das eben testen wollen, und irgendwie pickt sich der kernel dann eine IP aus dem range und versucht immer dieselbe, auch wenn sie im netz nicht vergeben ist und die arp-requests ins leere laufen. Also round robin iss da irgendwie nicht. Ich glaub ich muss mir mal die Quellen reinziehn. Ärgerlich das!
naja - gibt ja noch andere OSs und ipfadm's
Danke
> Dann fragt er beispielsweise immer ix-dns16.dnsbl.manitu.de
Naja, dann kann man wie angedeutet echtes loadbalancing auf nem router davor machen.
Grummel - in aktuellen Linux-Kerneln kann man bei DNAT leider nur noch ein Ziel angeben,
$ iptables -t nat -I PREROUTING 1 -p udp --dport 53 -j DNAT --to-destination 10.1.1.1 --to-destination 212.19.48.14
iptables v1.4.0: Multiple --to-destination not supported
Sooo einfach gehts also nicht mehr
" Later Kernels (>= 2.6.11-rc1) don’t have the ability to NAT to multiple ranges anymore."
Aber wenn die dns in einem gemeinsamen Netz sind gehts
iptables -t nat -I PREROUTING 1 -p udp --dport 53 -j DNAT --to-destination 10.1.1.1-10.1.1.10
Aber auch offenbar nur eingeschränkt. Ich hab das eben testen wollen, und irgendwie pickt sich der kernel dann eine IP aus dem range und versucht immer dieselbe, auch wenn sie im netz nicht vergeben ist und die arp-requests ins leere laufen. Also round robin iss da irgendwie nicht. Ich glaub ich muss mir mal die Quellen reinziehn. Ärgerlich das!
naja - gibt ja noch andere OSs und ipfadm's
Wow,
aber das Zeigt, um so besser die Blacklist um so schwerer haben es hoffentlich die Spammer. Oder sehe ich das falsch?
Euer Elektroniker
aber das Zeigt, um so besser die Blacklist um so schwerer haben es hoffentlich die Spammer. Oder sehe ich das falsch?
Euer Elektroniker
IPv4 vs. IPv6
Du bist hier via
Suche
Ökostrom
Kalender
Kommentare
Do, 24.05.2012 21:20
Ich finde es nicht verwerflich
euch danach zu fragen.
Ihr h
abt halt einen super support!
Ich finde die Frage nic [...]
Do, 24.05.2012 20:37
Ich wuerde da weniger auf eine
n "Gesellen" im Browser tippen
, sondern eher auf ein gehackt
es Script auf seiner Web [...]
Do, 24.05.2012 19:14
Och,
ich empfinde das noch al
s relativ neutral. Und so frag
t er halt einfach nach bei dir
.
Do, 24.05.2012 17:34
Da halte ich mit Wellensittich
und "Hansi" dagegen
Do, 24.05.2012 15:49
"Man" aka Kunde/Kundin muss mi
t der Frage nur kreativ genug
umgehen, dann bietet die reich
lich Variationsmöglichke [...]
Do, 24.05.2012 15:06
Deshalb benutze ich bei solche
n Fragen als Antowrt immer die
Namen von hochwertigen Lebens
mitteln wie Schweinskopf [...]
Do, 24.05.2012 13:26
Der Ton ist leicht anklagend,
aber er ist dennoch noch sehr
weit weg, was ich schon so an
der Hotline erleben muss [...]
Do, 24.05.2012 13:12
Naja, was heißt "als erstes".
Man ist Werbung ja gewohnt auf
allen Seiten zu sehen. Zumind
est ohne Adblocker. Nur [...]
Do, 24.05.2012 12:56
Das sehe ich nicht so.
Ganz
im Gegenteil: Er macht Dich a
ls Hoster nicht verantwortlich
, sondern fragt freundli [...]
